有关于Windows 7和Windows 2008 R2支持内置生物authentication(或似乎如此)的各种博客,MSDN页面,post等。 ( http://technet.microsoft.com/en-us/library/dd759228.aspx )在Windows 7和Windows 2008 R2中,它也包含一些组策略设置。
任何人都知道如何使它与Active Directory一起工作? 所以它显示在login屏幕或UAC提示?
Windows 7提供了一个设备抽象层,假设您的指纹读取器制造商已经编写了适当的驱动程序软件,读者本身将“与Windows一起工作”。 微软的目标是提供一致的用户体验:注册生物识别数据。 (Windows 7中的“提供者”function只支持指纹,微软可以扩展该框架以支持其他types的生物特征数据,但在Windows 7中只添加了指纹UI。 <)
从我发现的less量文章中,似乎基于生物识别的login在至less有一个用户“登记”了他们的指纹之后变得可用,并且将同时用于本地用户帐户和域用户帐户。
我不清楚微软实际存储生物识别数据和用户密码的地方。 由于在login之前必须可以访问,所以我猜测他们正在使用一些特定于机器的密钥对其进行encryption,并将其放在计算机的registry中。 (是的 – 根据这篇文章 ,似乎是发生了什么…)
当然,微软并没有想到如何在多组计算机上部署这个function。 我没有看到将生物特征数据“预加载”到机器组中的方法。 我的猜测是,例如,如果您希望“企业级”生物识别loginfunction,则需要每位员工在他们要login的每台计算机上“登记”其指纹。
如果实际上,集中式生物识别证书分发(可以说,提出了很多有趣的安全挑战)并不是Windows 7中的生物识别身份validationfunction的一部分,那么可以肯定的是,它几乎没有什么用处。
您可以通过组策略设置允许在win7 / server2K8R2 +中使用Biometrics进行域凭证login。 这些证书将需要注册,但他们应该从工作站漫游到工作站。 就程序注册而言……显然你需要指纹数据才能开始…这是我目前正在研究的内容。
上面的post关于如何存储生物特征数据是不正确的,并且需要在每个将被使用的工作站上注册。 由于这个问题得到了解答,WBF已经完整logging。
它不会“将数据打包在registry中”。
Active Directory是用于企业级解决scheme的机制。 它启用了一个GPO。 我也为UAC提升工作。 我一直在使用Windows 8,这真的很好。
这些链接可能有帮助:
http://technet.microsoft.com/en-us/library/dd759228.aspx
http://msdn.microsoft.com/en-us/library/windows/desktop/dd401509%28v=vs.85%29.aspx
这个API真的很容易理解,而且很容易编译的源代码。
编辑:指纹数据不漫游。 这是我的实验室使用得很好的副作用。 🙂
从相反的方向来看这可能更容易。 find适合您的需求的设备,并询问他们对AD和组策略的支持级别。 像这样的随机select的search结果。